自由职业软件开发者正成为一项持续活动的目标,该活动利用以工作面试为主题诱饵来传播跨平台恶意软件家族,即BeaverTail和InvisibleFerret。据《黑客新闻》报道,这一与朝鲜有关的活动被命名为“欺骗性开发”(DeceptiveDevelopment),与被追踪为“传染性面试”(Contagious Interview,又称CL-STA-0240)、DEV#POPPER、著名千里马(Famous Chollima)、PurpleBravo和坚韧的蓬山(Tenacious Pungsan)的集群有重叠。该活动自2023年底以来一直在进行。
“‘欺骗性开发’通过在求职和自由职业网站上进行鱼叉式网络钓鱼,针对自由职业软件开发者,旨在窃取加密货币钱包以及浏览器和密码管理器中的登录信息,”网络安全公司ESET在一份与《黑客新闻》共享的报告中表示。
2024年11月,ESET向《黑客新闻》证实,“欺骗性开发”与“传染性面试”存在重叠,将其归类为一个新的拉撒路集团(Lazarus Group)活动,该活动旨在进行加密货币盗窃。
这些攻击链的特点是利用社交媒体上的虚假招聘人员资料联系潜在目标,并与他们分享托管在GitHub、GitLab或Bitbucket上的特洛伊木马代码库,以工作面试过程为借口部署后门程序。
这些活动的后续版本已经扩展到其他求职平台,如Upwork、Freelancer.com、We Work Remotely、Moonlight和Crypto Jobs List。正如之前所强调的,这些招聘挑战通常涉及修复漏洞或为加密货币相关项目添加新功能。
除了编码测试,这些虚假项目还伪装成加密货币项目、具有区块链功能的游戏以及具有加密货币功能的赌博应用程序。恶意代码通常以单行代码的形式嵌入到良性组件中。
“此外,他们被指示构建并执行项目以进行测试,这就是初始入侵发生的地方,”安全研究员马特耶·哈夫拉内克(Matěj Havránek)表示。“使用的代码库通常是私有的,因此受害者首先被要求提供他们的账户ID或电子邮件地址以获得访问权限,这很可能是为了掩盖恶意活动,避免被研究人员发现。”
实现初始入侵的第二种方法是诱骗受害者安装带有恶意软件的视频会议平台,如MiroTalk或FreeConference。
虽然BeaverTail和InvisibleFerret都具有信息窃取功能,但前者作为后者的下载器。BeaverTail还有两种变体:一种是可嵌入特洛伊木马项目的JavaScript变体,另一种是使用Qt平台构建的本地版本,伪装成会议软件。
InvisibleFerret是一种模块化的Python恶意软件,它检索并执行三个额外的组件:
pay:收集信息并充当后门,能够接受攻击者控制服务器的远程命令,记录键盘输入、捕获剪贴板内容、运行shell命令、从挂载的驱动器中窃取文件和数据,以及安装AnyDesk和浏览器模块,并从浏览器扩展和密码管理器中收集信息;
bow:负责窃取存储在基于Chromium的浏览器(如Chrome、Brave、Opera、Yandex和Edge)中的登录数据、自动填充数据和支付信息;
adc:通过安装AnyDesk远程桌面软件作为持久化机制。
ESET表示,该活动的主要目标是全球范围内从事加密货币和去中心化金融项目的软件开发者,其中芬兰、印度、意大利、巴基斯坦、西班牙、南非、俄罗斯、乌克兰和美国报告了大量目标。
“攻击者不区分地理位置,旨在尽可能多地入侵受害者,以增加成功提取资金和信息的可能性。”
这也在运营商采用的明显较差的编码实践中得到体现,从未能删除开发注释到用于开发和测试的本地IP地址,表明该入侵组织并不关心隐蔽性。
值得注意的是,利用工作面试诱饵是朝鲜各种黑客组织采用的经典策略,其中最突出的是一个长期活动,被称为“梦幻工作”(Operation Dream Job)。
此外,有证据表明,这些威胁行为者还参与了欺诈性的IT工作者计划,朝鲜国民在该计划中以虚假身份申请海外工作,以获取定期薪水,从而为政权的优先事项提供资金。
“‘欺骗性开发’集群是朝鲜相关行为者采用的众多赚钱计划之一,并符合从传统货币转向加密货币的持续趋势,”ESET表示。
“在我们的研究过程中,我们观察到它从原始的工具和技术发展到更高级、更有能力的恶意软件,以及更成熟的技巧来吸引受害者并部署恶意软件。”
发表评论